Новости: Осторожно web-скимминг: под угрозой платежные данные
25.05.2020

Осторожно web-скимминг: под угрозой платежные данные

Осторожно web-скимминг: под угрозой платежные данные Осторожно web-скимминг: под угрозой платежные данные

Аналитики компании Malwarebytes обнаружили и расследовали интересную web-скимминг кампанию, нацеленную на похищение платежных данных. Для этого злоумышленники создали сайт myicons.net, содержащий базу иконок (favicon) известных брендов, который является копией сайта и базы Iconarchive

Далее в легитимные сайты встраивался код, который являлся ссылкой на иконки с сайта myicons.net, не вызывал особых подозрений и не содержал java-скрипта или подобного нелегитимного действия. Исследователи даже проверили самую скачиваемую иконку Magento на наличие стенографии (сокрытие вредоносного кода в картинке), но картинка оказалась чистой.

Самое интересное было обнаружено в момент перехода пользователя на платежные страницы скомпрометированных ресурсов: там вместо иконки сайт myicons.net передавал уже не картинку PNG, а JavaScript код, который подделывал форму оплаты и передавал все платежные данные на ресурсы злоумышленников, отправляя при этом копию в PayPal, а также копию на страницу оформления заказа, таким образом делая кражу незаметной для пользователя.

Эту атаку эксперты достаточно легко обнаружили на основании данных о сайте myicons.net: его время регистрации буквально от 2020 года, при этом он содержит полную библиотеку картинок, и IP-адреса принадлежат уже скомпрометированной ранее группе адресов.

Полные индикаторы компрометации:

  •  Skimmer URL, domain, IP and SHA256

myicons[.]net/d/favicon.png

myicons[.]net

83.166.244[.]76

825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e

  • Exfiltration domain and IP

psas[.]pw

83.166.242[.]105

Web-скиммеры – относительно новое направление web-атак, которое активно проявилось в 2016–2018 годах и продолжает атаковать пользователей в настоящее время. В 2018 году громкий инцидент web-скимминга был связан с British Airways, когда порядка 380 тысяч данных карт были украдены у пользователей онлайн-ресурса авиакомпании.

Суть атаки заключается в заражении содержимого сайта вредоносным кодом, который подменяет ожидаемые пользователем ресурсы (например платежную страницу) на копию от злоумышленника, которая выполняет два основных действия: отправляет данные платежных документов на ресурсы злоумышленника и отправляет web-форму на зараженный сайт для имитации совершенной покупки, чтобы скрыть следы утечки.

Одна из крупных группировок, производящих такого рода скиммеры – Magecart. Как утверждают специалисты компании RiskIQ, за 10 лет наблюдений им удалось засечь скиммеры Magecart около двух миллионов раз. Всего с августа 2010 года группировке удалось взломать более 18 тысяч хостов. Для управления зловредами преступники используют 573 домена, данные с которых загружают около 10 тысяч хостов.

Для внедрения скриптов используются:

  • Рекламные баннеры,

  • Иконки (favicon),

  • ПО поддержки пользователей (инцидент с Ticketmaster) и др.

Рекомендации экспертов группы компаний Angara по борьбе с такого рода атаками:

  • В первую очередь отслеживать исходящий трафик вашего сайта. Если идет поток на известные скомпрометированные ресурсы, как в случае с myicons, то это повод провести расследование и анализ ПО сайта. Оперативный мониторинг с включением Threat Intelligence сервисов и подключением индикаторов компрометации реализуется средствами SIEM-систем или сервиса MSSP SIEM, куда необходимо подключить ваш сайт.

  • Регулярно производить анализ кода на включение в него ошибок разработки, уязвимостей и возможно вредоносных включений. Для этого существует отдельный класс решений – сканеры исходного кода.

  • Регулярно проверять рабочий сайт средствами внешних сканеров защищенности (сетевые сканеры, сканеры поиска уязвимостей  в веб-скриптах, средства поиска эксплоитов, средства автоматизации инъекций и другие).

Другие новости

Присоединиться к #AngaraTeam!